Expertos piden a EE.UU. levantar restricciones a modelos de Anthropic

La polémica de la ciberseguridad: expertos piden el levantamiento de las restricciones a los modelos de Anthropic

Un grupo de destacados expertos en ciberseguridad ha lanzado una carta abierta al gobierno de Estados Unidos, solicitando la revocación de las restricciones de exportación impuestas a los modelos Fable y Mythos de Anthropic. Esta petición surge en un contexto donde los defensores de la ciberseguridad se sienten cada vez más limitados en sus capacidades para detectar vulnerabilidades y proteger sus sistemas de posibles ataques.

El ciberespacio se convierte en un campo de batalla. En la era digital actual, donde las amenazas cibernéticas evolucionan a un ritmo alarmante, la falta de acceso a herramientas avanzadas puede poner en peligro la seguridad nacional y la integridad de los sistemas críticos.

Un llamado a la acción

La carta, que cuenta con la firma de 76 profesionales de la ciberseguridad, incluye nombres reconocidos en la industria como Alex Stamos, exjefe de seguridad de Facebook; Casey Ellis, fundador de Bugcrowd; y Jon Callas, criptógrafo famoso y exgerente de diseño y arquitectura de seguridad en Apple. Estos expertos expresan su preocupación por las restricciones que, según ellos, limitan gravemente la capacidad de los defensores para protegerse contra adversarios que están constantemente mejorando sus técnicas de ataque.

"La acción de retirar las mejores capacidades de los defensores sin una razón válida, cuando nuestros adversarios avanzan rápidamente, es peligrosa", afirmaron en la carta.

Los expertos argumentan que la decisión del gobierno de EE.UU. de limitar la exportación de estos modelos se basa en preocupaciones de seguridad nacional, pero sin proporcionar explicaciones concretas sobre los riesgos asociados. La falta de transparencia en este proceso ha generado desconfianza entre los profesionales de la ciberseguridad, quienes ven en la tecnología de Anthropic una herramienta vital para fortalecer sus defensas.

La respuesta de Anthropic

El viernes pasado, el gobierno estadounidense ordenó a Anthropic que restringiera el acceso a los modelos Fable y Mythos, lo que llevó a la empresa a suspender el acceso a estos recursos para todos los usuarios a nivel mundial. Este movimiento fue justificado por Anthropic al señalar que la decisión se tomó para prevenir que hackers malintencionados o adversarios extranjeros pudieran utilizar estos modelos para llevar a cabo ataques cibernéticos.

Sin embargo, la comunidad de ciberseguridad considera que esta acción perjudica más que ayuda. Al limitar el acceso a herramientas que podrían ser utilizadas para detectar y corregir vulnerabilidades, se está dejando a los defensores en una posición de desventaja frente a los atacantes.

La controversia de las guardrails

Desde su lanzamiento en abril, Mythos ha sido descrito por Anthropic como una herramienta extremadamente potente para la identificación de vulnerabilidades de seguridad. Sin embargo, la compañía decidió restringir su acceso a un número selecto de empresas, inicialmente alrededor de 50, que luego se expandieron a 150 organizaciones en 15 países. Esta limitación ha suscitado críticas entre los expertos, quienes argumentan que las restricciones impuestas a los modelos, que Anthropic ha denominado "guardrails", son excesivas y en algunos casos, contraproductivas.

La última versión, Fable, se lanzó con la promesa de ser una alternativa pública a Mythos, pero con restricciones que impiden su uso en áreas como la biología, la química y, por supuesto, la ciberseguridad. Estas guardrails son tan estrictas que muchos expertos en ciberseguridad han encontrado que el modelo bloquea prácticamente cualquier solicitud relacionada con su campo.

"Los guardrails en Fable son tan restrictivos que limitan las capacidades de los defensores para abordar problemas de seguridad reales", comentó uno de los expertos en la carta.

Los firmantes de la carta consideran que estas restricciones no solo limitan el uso de la inteligencia artificial para mejorar la seguridad, sino que también impiden que los profesionales puedan utilizar el modelo para realizar pruebas y análisis críticos que son necesarios en el día a día de la ciberseguridad.

Un debate sobre el jailbreak

Anthropic ha señalado que la orden de control de exportación emitida por la Casa Blanca podría haberse basado en un informe que sugiere que existe un método para "bypassear" las restricciones de Fable y acceder a sus capacidades avanzadas. Este informe, elaborado por investigadores de Amazon, no ha sido publicado, pero ha generado un intenso debate en la comunidad.

Katie Moussouris, una de las firmantes de la carta y experta en ciberseguridad, ha revisado el documento y sostiene que no demuestra un verdadero jailbreak. En su opinión, los investigadores simplemente pidieron a Fable que corrigiera un código fuente de código abierto con vulnerabilidades conocidas y "vulnerabilidades plantadas deliberadamente", después de que el modelo inicialmente se negara a "revisar el código en busca de problemas de seguridad".

Moussouris argumenta que la interpretación del informe es errónea. “El comportamiento descrito en el documento no puede ser corregido de manera significativa, y cualquier intento solo debilitaría el modelo para la defensa. Los defensores necesitan poder pedir a la IA que arregle los errores en un archivo, explique por qué la corrección es importante y redacte pruebas que confirmen que el parche funciona”.

Llamado a la regulación justa

El grupo de expertos también ha solicitado que se establezcan regulaciones que sean transparentes y aplicadas de manera justa, creadas a través de un "proceso de elaboración de normas democrático" y basadas en investigaciones científicas realizadas por expertos de la industria y académicos. Estas regulaciones, según ellos, deberían ser utilizadas únicamente en la medida mínima necesaria para garantizar la seguridad del público estadounidense.

En un entorno donde la ciberseguridad es cada vez más crítica, la comunidad se enfrenta a un dilema. Por un lado, la necesidad de proteger la información sensible y los sistemas críticos es más importante que nunca. Por otro, la falta de acceso a herramientas avanzadas que pueden ayudar a los defensores a identificar y mitigar vulnerabilidades puede ser un grave error estratégico.

Un futuro incierto

A medida que la situación evoluciona, el futuro de la ciberseguridad en Estados Unidos se presenta incierto. La comunidad de expertos en ciberseguridad está en pie de guerra, pidiendo a las autoridades que reconsideren su postura sobre el acceso a tecnologías que pueden ser esenciales para combatir las amenazas cibernéticas.

La carta abierta es un claro reflejo de la preocupación creciente entre los profesionales de la ciberseguridad. Con el aumento de los ataques cibernéticos y la sofisticación de los métodos utilizados por los atacantes, la necesidad de herramientas efectivas y accesibles nunca ha sido tan urgente. La comunidad espera que el gobierno escuche su llamado y actúe en consecuencia, permitiendo un acceso justo a las herramientas que pueden marcar la diferencia en la defensa cibernética.